AI 助理
备案控制台
开发者社区 安全 文章 正文

OpenSSL 1.1.1的裁剪

2019-09-05 25542
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: OpenSSL这个库,对于一个端上的sdk来说,算是一个比较大的库了,这里拿OpenSSL1.1.1在Android arm64来做说 全编译后libcrypto.a 4.7M, libssl.a 900多k,当然strip后会变小,我们这里就拿没strip的库来做大小对比 首先百度,Google, GitHub找一些别人裁剪的脚本进行尝试,有些是因为版本不一样,所以出错了,去掉不支持的选

OpenSSL这个库,对于一个端上的sdk来说,算是一个比较大的库了,这里拿OpenSSL1.1.1在Android arm64来做说
全编译后libcrypto.a 4.7M, libssl.a 900多k,当然strip后会变小,我们这里就拿没strip的库来做大小对比

首先百度,Google, GitHub找一些别人裁剪的脚本进行尝试,有些是因为版本不一样,所以出错了,去掉不支持的选项后,编译或链接的时候会失败,并且每个地方搜到的脚本并不太一样,也不见得符合我们的需求。
说下我们的需求,我们使用OpenSSL主要是用来在curl中支持https协议,并且其他地方有用到md5的计算和aes的加解密算法,如果你和我们的需求差不多,那么我们可以一起往下看了。

在搜索脚本使用失败后,被逼无奈,找找OpenSSL的源码里面有没有相关的说明不?还真找到了
请一起看源码里面的INSTALL文件,里面有裁剪相关的说明
这里面应该是有几类裁剪
首先是直接列出来名字的,如:

no-afalgeng no-async no-autoalginit no-autoerrinit ...

当然,这里的选项并不都是裁剪模块相关的,比如

no-pic no-shared

这里的是编译选项,no-pic是无法编译成动态库,no-shared是不编译动态库,这里要根据自己的需求选择了。如果你想编译成动态库,或者把静态库最终链接成动态库no-pic是不能选择的。

no-threads  Don't try to build with support for multi-threaded
                   applications.

是不使能多线程安全相关代码,我们升级到1.1.1的目的就是要使用其内部的线程安全功能,所以这个也不能选。

no-sock Don't build support for socket BIOs,

这个我们也不要选,这个是https中需要的。

这里面还有一个特殊的选项

  no-deprecated
                   Don't build with support for any deprecated APIs. This is the
                   same as using "--api" and supplying the latest version
                   number.

是不编译过时的api,请不要使用这个选项,如果加上会导致一些其他软件的链接问题,比如ffmpeg3.4中,使用了一些比较低版本的接口,如果加上这个选项,会导致ffmpeg编译不过,我看了下,这些版本兼容的api都是一些宏定义,或者一些接口转化,对最后的体积大小几乎没有任何影响。

然后这部分我这边的config是

no-afalgeng no-async no-autoalginit no-autoerrinit no-capieng
     no-cms no-dgram no-dynamic-engine no-engine no-ec no-ec2m no-filenames no-gost
     no-hw-padlock no-nextprotoneg no-ocsp no-psk no-rfc3779 no-srp no-srtp no-ts

下面一类是

no-<prot>

Don't build support for negotiating the specified SSL/TLS
                   protocol (one of ssl, ssl3, tls, tls1, tls1_1, tls1_2,
                   tls1_3, dtls, dtls1 or dtls1_2). If "no-tls" is selected then
                   all of tls1, tls1_1, tls1_2 and tls1_3 are disabled.
                   Similarly "no-dtls" will disable dtls1 and dtls1_2. The
                   "no-ssl" option is synonymous with "no-ssl3". Note this only
                   affects version negotiation. OpenSSL will still provide the
                   methods for applications to explicitly select the individual
                   protocol versions.

这些是tls和ssl相关的,是我们https协议中需要的,我们肯定不能全部去掉,最好全部留着,并且经过测试,发现去掉一些后,体积并没有多大变化,还是都留着比较放心,兼容性会更好。


  no-<alg>
                   Build without support for the specified algorithm, where
                   <alg> is one of: aria, bf, blake2, camellia, cast, chacha,
                   cmac, des, dh, dsa, ecdh, ecdsa, idea, md4, mdc2, ocb,
                   poly1305, rc2, rc4, rmd160, scrypt, seed, siphash, sm2, sm3,
                   sm4 or whirlpool.  The "ripemd" algorithm is deprecated and
                   if used is synonymous with rmd160.

上来全部去掉,编译后发现有些算法是必须的,所以把它们去掉了

no-des no-dh no-sock

另外有个选项文档里面并没有提到

no-dso

这个选项不加的话,iOS的app可能会不通过审核,因为是一个动态加载动态库的支持,苹果是不允许的。

经过这样的裁剪Android arm64的库
2.9M libcrypto.a
752K libssl.a
还是小了不少的。并且可以正常使用。

文章标签:
网络安全
API
1130332701764014
目录
相关文章
用数据说话
|
弹性计算 负载均衡 数据库
阿里云服务器带宽上传下载速度、出入网收费免费说明
用户花钱购买的阿里云服务器公网带宽是指公网出方向带宽,阿里云内网带宽和公网入方向带宽都是免费的。用户购买公网出方向带宽后,阿里云会提供免费的公网入方向带宽,公网入方向带宽10M起步
用数据说话
5759 0
阿里云服务器带宽上传下载速度、出入网收费免费说明
Hcoco_me
|
Linux 芯片
Linux内核学习(六):linux kernel的Kconfig分析
Linux内核学习(六):linux kernel的Kconfig分析
Hcoco_me
1181 0
wkd_007
|
Ubuntu Linux 编译器
openssl 的编译(linux、Ubuntu) 和 交叉编译(arm、Hi3531A)的问题分析、解决
openssl 的编译(linux、Ubuntu) 和 交叉编译(arm、Hi3531A)的问题分析、解决
wkd_007
2564 0
技术内容小助手
|
人工智能 资源调度 Kubernetes
混部开源 Koordinator 背后的故事|学习笔记(一)
快速学习混部开源 Koordinator 背后的故事
技术内容小助手
782 0
混部开源 Koordinator 背后的故事|学习笔记(一)
zzy的aly
|
应用服务中间件 Linux nginx
FFmpeg学习笔记(一):实现rtsp推流rtmp以及ffplay完成拉流操作
这篇博客介绍了如何使用FFmpeg实现RTSP推流到RTMP服务器,并使用ffplay进行拉流操作,包括在Windows和Linux系统下的命令示例,以及如何通过HTML页面显示视频流。
zzy的aly
3041 0
泡沫o0
|
算法 安全 Linux
Linux 裁剪并交叉编译openssl库
Linux 裁剪并交叉编译openssl库
泡沫o0
621 1
栈江湖
|
12月前
|
Linux 数据安全/隐私保护 C语言
新手向导:轻松离线搭建最新版OpenVPN(含一键安装脚本)
OpenVPN 是常用的虚拟私有网络工具,通过 Docker 搭建非常简单。但常用的 kylemanna/openvpn 镜像已三年未更新,停留在 OpenVPN 2.4 版本。为了升级到最新版本(如 2024 年 2 月发布的 v2.6.9),可以通过官方开源社区获取最新安装包并手动编译安装。步骤包括安装依赖、下载并编译 OpenSSL 和 OpenVPN、生成证书和配置文件等。此外,GitHub 上有一键安装脚本 openvpn-install.sh,简化了安装过程,但其版本可能不是最新的。安装完成后,还需配置 iptables 以确保客户端能正常使用代理网络。
栈江湖
14962 1
aliyun8599273441-30642
|
12月前
|
搜索推荐 Linux
深入理解Linux操作系统的启动过程
本文旨在揭示Linux操作系统从开机到完全启动的神秘面纱,通过逐步解析BIOS、引导加载程序、内核初始化等关键步骤,帮助读者建立对Linux启动流程的清晰认识。我们将探讨如何自定义和优化这一过程,以实现更高效、更稳定的系统运行。
aliyun8599273441-30642
373 4
泡沫o0
|
资源调度 算法 Linux
Linux进程/线程的调度机制介绍:详细解析Linux系统中进程/线程的调度优先级规则
Linux进程/线程的调度机制介绍:详细解析Linux系统中进程/线程的调度优先级规则
泡沫o0
3464 0
清风飞扬666
|
应用服务中间件 Linux 网络安全
入职必会-开发环境搭建43-Linux软件安装-安装Nginx
本文介绍在Linux中下载和安装Nginx
清风飞扬666
197 2
入职必会-开发环境搭建43-Linux软件安装-安装Nginx

热门文章

最新文章

  • 1
    OpenSearch大模型实践之Havenask篇
  • 2
    一文掌握:Gitlab的完整使用手册
  • 3
    java实现图片与base64转换
  • 4
    手机验证码登录
  • 5
    Pycharm2022最新版安装破解与激活教程,亲测可用
  • 6
    Java单元测试之 单元测试规范
  • 7
    Exchange 中关于邮件的生命周期和托管文件夹的相关设定
  • 8
    抽象工厂模式
  • 9
    Android按返回键(后退键)Back键事件捕获的两种方法
  • 10
    Linux下安装显卡Run格式
  • 1
    关于synchronized-reentrantlock-volatile学习总结1.0
    34
  • 2
    最新PyCharm 安装详细图文教程:小白也能轻松搞定
    59
  • 3
    用错工具比没工具更可怕:Ansible vs Terraform 实战对比,用最接地气的方式讲清楚
    46
  • 4
    别等系统报警了才想起 Trace!——分布式事务可观测性的那些坑与优化套路
    54
  • 5
    数据建模到底怎么稳?从维度建模聊到列式存储,让你的数据仓库飞起来!
    41
  • 6
    基于反馈循环的自我进化AI智能体:原理、架构与代码实现
    55
  • 7
    LLM为何难以胜任复杂任务?探索AI认知局限
    51
  • 8
    【Java架构师体系课 | MySQL篇】⑦ 深入理解MySQL事务隔离级别与锁机制
    44
  • 9
    阿里云服务器最便宜多少钱一年?38元一年,配置、价格及购买限制说明
    51
  • 10
    强化网站安全的利器(Nginx中如何正确配置HSTS安全头)
    36

    • 相关电子书

    更多
  • 低代码开发师(初级)实战教程
  • 冬季实战营第三期:MySQL数据库进阶实战
  • 阿里巴巴DevOps 最佳实践手册
    • 下一篇
    阿里云负载均衡收费标准:ALB、NLB和CLB价格,包括LCU费用、实例费和公网带宽价格